Безопасность в Internet- Intranet

       

Расследование и его результаты


Изучение программы из приложения к письму (так называемого "троянского коня") показало, что это была программа на C, которую можно легко найти в Интернете на хакерских веб-сайтах. Она ничего не делала, кроме уничтожения содержимого всего жесткого диска. Ее исходный текст имел не более 100 строк и был использован в нескольких вирусах.

Для того, чтобы проверить правильность гипотезы о том, что злоумышленником был тот самый уволенный сотрудник, требовалось провести ряд оперативных действий:

  • Следователь связался с интернет-провайдером, который предоставил почтовый аккаунт, с которого было послано письмо, чтобы узнать, кто является владельцем этого аккаунта и когда он использовался. Оказалось, что это был временный (бесплатный первые 3 дня), не требующий оплаты по кредитной карте аккаунт. Поэтому не удалось напрямую установить, когда он использовался и кто его владелец. Но доступ в эти первые 3 дня должен был производиться, используя телефонный номер модемного пула провайдера, начинающийся с 800, а при доступе по этому номеру протоколировался номер телефона, с которого звонил пользователь. Информация из этого журнала показала, что многие звонки в эти три дня делались с домашнего номера телефона подозреваемого уволенного сотрудника. Мало кто знает, что для номеров, начинающихся с 800 и 888 ведется журнал, в котором фиксируются номера звонящего и того, кому звонят, который может быть предоставлен по запросу телефонной компанией (в США).
  • Изучение журналов почтового сервера у интернет-провайдера показало, что дата-время отправки письма, вызвавшего уничтожение данных на жестком диске, совпадает по времени со звонками подозреваемого на 800-номер у провайдера.
  • Изучение архивов отправленных писем у провайдера показало наличие в них того самого сообщения вместе с приложением, содержащим троянского коня.
  • Анализ журналов почтового сервера компании показал, что в интересуюшее время получались письма от почтового сервера провайдера, а проверка промежуточных почтовых серверов предоставила доказательства того, что письмо с троянским конем действительно передавалось между почтовым сервером провайдера и почтовым сервером компании.
  • С помощью журналов межсетевого экрана компании удалось установить точные времена доставки писем и адреса их отправителей. Эта информация согласовывалась с информацией от провайдера и информацией от внутреннего почтового сервера.
  • Анализ журналов телефонных звонков в компанию с помощью средств протоколирования, встроенных в офисную АТС, показал, что подозреваемый регулярно звонил в компанию нескольким сотрудникам. Было установлено, что почти сразу же после отправки троянского коня подозреваемый звонил нескольким людям и разговаривал с ними от 1 до 15 минут. Собеседование с этими людьми установило, что звонивший задавал им конкретные вопросы о троянском коне, как будто бы он уже слышал о случившемся с ними несчастье, но не мог понять, как этот троянский конь мог попасть к ним в компанию.
  • Так как в результате этой атаки пострадали сотрудники компании как в конкретном штате США, так и за его пределами (из-за того, что сеть компании была глобальной и имела возможность удаленного доступа к ней), расследованием занялись сотрудники федеральных правоохранительных органов США и завели уголовное дело. Позднее их расследование установило наличие исходного текста этой программы и отправленного письма на домашнем компьютере подозреваемого. Этот человек был обвинен по нескольким статьям и получил в наказание несколько месяцев федеральной тюрьмы.


    Исследование рабочей станции НОА позволило установить следующее:

  • НОА использовал Netscape Communicator как браузер по умолчанию, что было важным фактом, так как НОА регулярно очищал его кэши и не сохранял их после сеанса работы в WWW.
  • В директории, где хранились файлы для Internet Explorer, было обнаружено несколько поддиректорий с кэш-файлами, содержащими сотни мужских порнографических картинок. Также было обнаружено, что все эти директории имеют одинаковое время-дату создания , и что все файлы в этих директориях были созданы почти в одно и то же время утром в субботу.
  • Изучение формата хранения информации в директории позволило сделать вывод, что этот формат хранения не является тем форматом, в котором Internet Explorer автоматически сохраняет кэш-файлы при работе в WWW.
  • После исследования рабочей станции уволившегося сотрудника была обнаружена следующая информация:

  • В системе были удалены все файлы, которые не входили в состав установленных приложений.
  • Был обнаружен файл закладок Internet Explorer НОА.
  • При восстановлении файлов на диске были обнаружены файлы с теми же самыми именами и содержимым, что и файлы, находящиеся на рабочей станции НОА.
  • В некоторых восстановленных журналах со станции инженера была обнаружена информация о доступе к рабочей станции НОА приблизительно в то же время, в какое были созданы директории на рабочей станции НОА.
  • Дальнейшее изучение журналов и информации из восстановленных файлов позволило установить, что файлы, содержащие порнографические материалы, были вначале загружены из Интернета на рабочую станцию инженера. Затем эти файлы были перенесены на машину НОА. Таким образом уволившийся инженер пытался оклеветать НОА с целью уволить его из учреждения.

    Бывший сотрудник обнаружил, что можно легко скопировать эти файлы на машину НОА. Так как на машине НОА была установлена Windows NT, этот инженер незаметно вошел в комнату НОА и сделал его жесткий диск доступным из локальной сети учреждения.




    Расследование началось с изучения концентраторов и маршрутизаторов во внутренней сети и ее соединений с внешней сетью. Никаких модификаций обнаружено не было. Фактически, последние модификации в программы, обеспечивающие работу сети, вносились за три недели до увольнения сетевого администратора.

    Изучение ПЭВМ было гораздо более трудным, так как нет никаких средств протоколирования в таких операционных системах, как Windows'95, Windows for Workgroups, Windows V3.11 и OS/2. Кстати, пострадали компьютеры именно с этими операционными системами, и не было замечено никаких проблем у компьютеров под управлением UNIX, Macintosh, у старых компьютеров IBM и DEC.

    Анализ дат и времен модифицированных файлов оказался бесполезным, так как все системы администрировались удаленно группой системных администраторов каждый день, и наиболее критические файлы на большинстве систем обновлялись ежедневно.

    Единственным способом понять, что происходит, было более детальное изучение проблем, возникающих у пользователей, и попытка установить причины происходящих конкретных проблем. Компания не хотела обратно нанимать уволенного сетевого администратор по политическим и кадровым соображениям, поэтому экспертам пришлось действовать самостоятельно.

    При попытке установить соединения с другими системами стало ясно, что системы, которые не перезагружались, вообще не имеют проблем. Это означало, что следовало определить, какие различия имеются между системой, которая перезагрузилась, и той, которая не делала этого. Это оказалось очень сложным и дало небольшие результаты. Имелись естественные системные различия, но большинство из них могли быть вызваны различиями в администрировании их и различиями в их конфигурации. Но эта работа не была полностью бесполезной, так как позволила глубже изучить эксплуатируемые операционные среды сотрудникам отдела автоматизации.

    Изучение систем, которые стали плохо работать, не выявило никаких необычных установок в панели средств управления сетью. Фактически, за исключением адреса, большинство установок во всех системах были идентичны и совпадали с тем, которые стояли на нормально работавших системах.

    Следующим шагом был запуск сетевого анализатора в этом сегментеЛВС для выявления различий в трафике между нормально работающими системами и тем, которые работали плохо. Первичный анализ пакетов протоколов TCP/IP, используемых всеми рабочими станциями, не показал никаких различий в формате пакетов. Но после анализа большого числа пакетов и побитного их сравнения было выявлено небольшое различие между правильно работающими системами и теми, которые не могли получить доступ к Интернету.

    В пакете IP есть поле, называемое "ВРЕМЯ ЖИЗНИ", которое используется для предотвращения переполнения сети ошибочными пакетами. Как правило, значение, стоящее в этом поле, декрементируется каждый раз, когда пакет проходит через маршрутизатор. Когда это значение становится равным нулю, пакет уничтожается маршрутизатором. С помощью такого удаления ошибочные пакеты удаляются из сети.

    Это поле также часто используется для установки максимально допустимого числа маршрутизаторов между отправителем пакетов и их получателем. Его функция очень похожа на поводок собаки: оно ограничивает величину расстояния, на которое кто-то может отойти от своей системы. По умолчанию на большинстве систем его значение равно 255. Это означает. Что на пути между отправителем и получателем может быть не более 255 маршрутизаторов, при попытке пройти большее их число пакет будет уничтожен.

    Изучение пакетов выявило, что правильно функционирующие системы посылали пакет с полем "ВРЕМЯ ЖИЗНИ", имеющим значение 255, а в пакетах, отправляемых плохо работающими системами он было равно 1. Это означало, что первый же маршрутизатор, на который попадал пакет, уничтожал его. По сути это лишало пользователя неправильно работающих систем возможности использовать сеть за маршрутизатором. Ему были доступны только те системы, пакеты к которым передавались через коммутаторы и концентраторы. Естественно для объединения сетей в организации использовались маршрутизаторы, и пользователи не могли добраться до удаленных машин.

    Исследование параметров протокола на плохо работающих системах выявило, что это поле устанавливалось в 1 в одном из файлов, использовавшихся для конфигурирования протокола после перезагрузки. Другие системы не пострадали сразу же из-за того, что после перезагрузки они не считывали конфигурационные файлы и не меняли значение поля "ВРЕМЯ ЖИЗНИ".

    Дата последнего изменения файлов соответствовала следующему дню после увольнения сетевого администратора. Дальнейшее расследование показало, что для распространения измененных файлов по системам пользователей были использованы средства системного администрирования. Журналы модемного пула показали наличие сеансов этого сетевого администратора в ночь после увольнения и на следующий день. Сразу же после этих сеансов начались проблемы у пользователей.

    К сожалению в данной ситуации не было абсолютно никакого способа доказать, что именно сетевой администратор был причиной всех бед, хотя было ясно, что только он единственный из тех, кто имел доступ к системе администрирования, обладал необходимой квалификацией для совершения таких действий. Недостаточно для возбуждения судебного иска, но достаточно для установления причин произошедшего.

    Средства системного администрирования были сконфигурированы так, что на всех пользовательских системах было установлено новое значение "ВРЕМЯ ЖИЗНИ" и они были обязательно перегружены на следующий день. После этого все заработало. В то же самое время были изучены все установки сетевых программ на предмет выявления аналогичных вредных установок. Было обнаружено, что на нескольких компьютерах ряд параметров также были изменены, что со временем также привело бы к их неработоспособности - они были исправлены. Изучение установок маршрутизаторов, концентраторов и других сетевых компонент также выявило факты модификации загрузочных модулей операционной системы и других файлов - эти файлы также были восстановлены.

    Фактически, не зная никаких паролей на компьютерах, а имея только один аккаунт , сетевой администратор скомпрометировал всю сеть и модифицировал ее для вывода из строя сетевых компонентов.




    Расследование началось с анализа журналов и изменений в конфигурации почтовых серверов CC:Mail. Были обнаружены явные следы уничтожения части информации в журналах, а в то время, когда имели место случаи "случайного" получения писем не теми адресатами, в журналах не было информации вообще - обычно эти случаи имели место ранним утром. Расследование также показало, что дата-время создания файлов с полученными не теми людьми письмами попадают в периоды отсутствия информации в журналах, что доказывало, что на самом деле что-то происходило в это время.

    Дальнейшее изучение журналов сервера доступа показало, что в то время, когда имела место подчистка журналов, удаленного доступа не было. Проверка модемного аккаунта почтового администратора показала, что для него не было никаких сеансов вообще. Аналогичные проверки журналов межсетевого экрана для Интернета также не выявили никаких попыток удаленного доступа к сети. Также было установлено, что никаких модификаций журналов межсетевого экрана не производилось.

    Проверка физического доступа в здание, где находится почтовый сервер, позволила установить, что в серверную никто не входил, кроме операторов, которые должны были находиться в комнате во время дежурства и других лиц, кто должен был быть в серверной для выполнения каких-либо работ. В то время, когда была произведена модификация журналов, в здании не было никого, кто мог бы иметь причины получить доступ к почтовому серверу. В то время, когда кто-то изменил конфигурацию почтовых серверов, что и вызвало получение писем не теми людьми, не было обнаружено удаленного доступа к сети, ни физического доступа к серверам.

    Опрос сотрудников отдела автоматизации позволил установить, что пользователи сети могли попросить установить с разрешения своего начальника отдела у себя на рабочем месте телефон в одном из зданий исследовательского центра, в котором была проложена корпоративная сеть. Дальнейший опрос обнаружил, что эти телефоны не контролировались отделом автоматизации, и что не имелось средств проверки того, где установлены телефоны и как они используются.

    Отдел телекоммуникаций, который отвечал за АТС организации, дал необходимую информацию. Во-первых имелось около 2400 телефонных розеток для подключения цифровых телефонов. Во-вторых, было установлено около 900 линий для факсов, модемов и пейджеров. Проверка их использования показала, что сотрудниками использовалось свыше 500 переносных компьютеров, все они имели встроенные модемы и имелось много модемов, постоянно стоящих в тех или иных комнатах в зданиях. Самыми популярными вариантами использования модемов были исходящие звонки для подключения к различным информационным службам и отправка факсов. Некоторые пользователи также подключались с помощью модемов к станциям на их рабочих местах из дома для удаленного доступа к ним и сети.

    Большое число пользователей установили у себя средства удаленного управления компьютером, такие как Rapid Remote, PC Anywhere и Carbon Copy. С помощью этих программ удаленный пользователь мог получить доступ к системе в корпоративной сети, как будто бы он сидел за своей рабочей станцией (правда несколько медленнее). Они также удаленно монтировали диски и получали доступ к другим сетевым службам во внутренней сети от имени своей машины на рабочем месте путем удаленного подключения к ней через модем. Быстрое сканирование блока телефонных номеров организации программой, называемой "боевым диалером", которая последовательно пытается позвонить по каждому номеру из указанного диапазона, выявляет номера, по которым отвечают модемы (в ответ слышны тональные сигналы), и сообщает об этом, выявило что к 50% из 900 линий были подключены модемы и к 200 из них были подключены компьютеры с установленным на них программным обеспечением для удаленного доступа. Это означало, что при правильной настройке программы любая из этих 200 систем могла быть использована для установления удаленного соединения с сетью в обход модемного пула и межсетевого экрана. Это подключение не было запротоколировано и не подпадало под контроль отдела автоматизации.

    Так как имелось подозрение, что именно почтовый администратор в ответе за неполадки с почтой, было логичным проверить способы, которыми он мог воспользоваться для получения удаленного доступа к одной из этих 200 машин. Было также логично предположить, что этот доступ имел место как раз тогда, когда были очищены журналы на почтовых серверах.

    АТС организации имела возможность, позволяющую определять номер внешнего телефона, с которого поступил звонок. Эта возможность известна как АОН (автоматическое определение номера). Изучение информации о номерах телефонов в часы, когда происходили несанкционированные изменения на почтовом сервере, позволило установить, что звонили только по номерам, на которых были установлены автоответчики или факсы - ни на один из номеров с установленными на них модемами не было звонка.

    Странно.

    Хорошо, модем может и сам позвонить. Дальнейшее исследование исходящих звонков в то же самое время выявило, что был исходящий звонок по домашнему номеру телефона почтового администратора, а также другому номеру, который также находился в доме, где живет почтовый администратор. По внутреннему номеру, с которого был произведен звонок, было установлено, что звонок был организован одним из персональных компьютеров в отделе автоматизации. Исследование этого компьютера показало, что в тот день, когда почтовый администратор был наказан, на этом компьютере была установлена программа PC AnyWhere фирмы Symantec. Более того, этот компьютер не использовался никем из отдела автоматизации, так как его хозяин находился в полугодовой командировке за границей. Углубленный анализ телефонных звонков с/на этот внутренний номер выявил, что в несколько предыдущих недель с него звонили только по домашнему номеру почтового администратора.

    Программа для удаленного доступа вела журнал всех подключений к компьютеру. Никаких паролей для входа не устанавливалось, поэтому получить удаленный доступ мог любой, кто установил себе клиентскую часть программы. Была произведена проверка установить клиентскую часть программы удаленного доступа на машину консультанта и успешно проведен тестовый сеанс удаленного подключения к этой машине. Таким образом удаленный пользователь мог получить доступ ко всей сети организации.

    Для сбора улик нужно было обследовать домашний компьютер почтового администратора, чтобы получить достоверную информацию о том, что именно он устанавливал соединение с сетью по телефону через компьютер уехавшего ученого, и что именно он модифицировал журналы почтового сервера и его конфигурацию. Нужно было получить ордер на обыск, так как в противном случае осмотр компьютера был бы незаконным.

    Стало известно, что компьютер, установленный дома у почтового администратора, принадлежит отделу автоматизации. Но если попросить его вернуть компьютер официально, вся информация на нем окажется уничтоженной, и никаких улик не останется. Но если сказать почтовому администратору, что его машину будут обновлять, то есть шанс, что он сам принесет компьютер в учреждение. Так как периодически все компьютеры обновлялись, фамилия почтового администратора была внесена в список, и на следующей неделе он принес машину для обновления. Он скопировал содержимое диска со старой машины на новую и забрал ее домой. После этого была создана резервная копия старого диска на CD-ROM, чтобы гарантировать подлинность данных при представлении их в суде.

    Содержимое диска было исследовано, и сразу стало ясно, что на компьютере была установлена клиентская часть программы удаленного доступа, и в его журналах имеются записи о сеансах как раз в то время, когда производились несанкционированные действия на почтовом сервере, а компьютеры, с которыми устанавливалось соединение, находятся во внутренней сети организации и являются как раз теми самыми почтовыми серверами. Была также обнаружена информация о том, что соединение было установлено в ответ на удаленный звонок от компьютера уехавшего ученого.

    Вся эта информация была предоставлена почтовому администратору, который после этого сознался, что именно он совершил все это. По законам США он мог быть привлечен к уголовной ответственности за промышленный шпионаж и несанкционированное вмешательство в работу компьютеров, но потери учреждения не были настолько велики, чтобы правоохранительные органы стали заниматься этим делом. Но можно было возбудить гражданский иск - почтовый администратор мог быть обвинен в реальных нарушениях в работе сети учреждения и возможных последствиях этого, и на основании этого против него мог быть возбужден иск на большую сумму, которую он не смог бы заплатить. Чтобы избежать скандала, учреждение уволило его, и он подписал специальный договор, в котором он обязался не сообщать никому, что он совершил, и не пытаться повторить попытки несанкционированного доступа к сети организации, в противном случае против него был бы сразу же возбужден этот гражданский иск.



    Содержание раздела